Chat with us, powered by LiveChat
Nous utilisons des témoins à des fins d’analyse du Site Web, de statistiques, de profilage et de reciblage publicitaire. Nous pouvons aussi partager de l’information sur votre utilisation du Site Web avec nos partenaires publicitaires et analytiques. Vous pouvez désactiver les témoins dans les paramètres de votre navigateur à tout moment. Politique de confidentialité .
FERMER X
 Dans Blogue, Cloud, Fax, Innovation, Productivité, Sécurité, Technologie

Les universités, en particulier celles axées sur la médecine, l’ingénierie et d’autres sciences, jouent un rôle majeur en matière de recherche de pointe dans le monde. Par conséquent, les établissements d’enseignement, en particulier ceux qui disposent d’installations de recherche modernes, prestigieuses ou remarquables, sont des cibles de prédilection pour des activités malveillantes. Pire encore, de nombreux établissements d’enseignement ne suivent pas les pratiques exemplaires de l’industrie en matière de cybersécurité, notamment la mise en place de l’authentification à deux facteurs (A2F) et des exigences strictes en matière de mots de passe.

Selon le rapport d’enquête de 2019, réalisé par Verizon, sur l’atteinte à la protection des données (disponible en anglais seulement), les établissements d’enseignement ont encore de la difficulté à gérer l’hameçonnage, la sécurité générale des emails et les menaces liées aux rançongiciels, entre autres. Le rapport note également que « les établissements qui s’associent à des entreprises privées de la Silicon Valley, qui dirigent des instituts politiques ou qui exploitent des centres de recherche sont probablement plus susceptibles d’être la cible de cyberespionnage que les écoles secondaires ».

Ces attaques peuvent être motivées par plusieurs idées, notamment la recherche de gains financiers par la vente de renseignements personnels sur le Dark web, l’espionnage industriel, les attaques idéologiques ou tout simplement le plaisir.

Un service d’échange sécurisé de fichiers peut aider à atténuer bon nombre des problèmes et à éviter que des personnes de l’extérieur tentent de voler vos données de recherche. Voici trois raisons pour lesquelles toute université devrait utiliser un service sécurisé d’échange de fichiers :

1. Les emails envoyés au mauvais destinataire demeurent un problème

On peut probablement affirmer sans se tromper que la plupart des personnes qui utilisent régulièrement l’email, ont envoyé un message au mauvais destinataire au moins une fois dans leur vie. Même si cela ne vous est pas arrivé, cette problématique demeure une source très courante en matière d’atteinte à la protection des données. La plupart des emails envoyés au mauvais destinataire sont inoffensifs et ne contiennent pas de renseignements précieux ou préjudiciables. Toutefois, en cas contraire, les conséquences peuvent être extrêmement négatives, comme l’a expérimenté un professeur de l’État de l’Ohio, ou tout simplement causer un embarras.

Malheureusement, les établissements d’enseignement semblent particulièrement exposés à ce problème. Selon le rapport trimestriel sur les atteintes à la protection des données Notifiable Data Breaches Quarterly Statistics Report (disponible en anglais seulement), publié en mai 2019 par le gouvernement australien, il y a eu 19 atteintes à la protection des données dans le secteur de l’éducation en Australie entre le 1er janvier 2019 et le 31 mars 2019. De ce nombre, plus de la moitié (10) ont été causées par des erreurs humaines. Parmi ces 10 atteintes causées par des erreurs humaines, quatre ont été causées par des emails envoyés au mauvais destinataire, et quatre autres ont été causées par la divulgation non autorisée de renseignements (en diffusant ou en publiant les renseignements de façon involontaire), notamment par email. Un excellent exemple de divulgation involontaire de renseignements non autorisés est le cas d’un représentant de la faculté de droit de l’université de Virginie, qui a envoyé un email comportant un fichier personnel joint par erreur.

Les quatre atteintes causées par des emails envoyés au mauvais destinataire et les quatre autres causées par divulgation involontaire de renseignements non autorisés ont représenté 80 % des atteintes causées par des erreurs humaines dans le secteur de l’éducation en Australie. En d’autres termes, le simple fait d’éviter l’utilisation de l’email aurait pu prévenir 80 % des atteintes à la protection des données causées par des erreurs humaines dans le secteur de l’éducation en Australie, au cours du premier trimestre de 2019.

2. Le secteur de l’éducation est exposé à l’hameçonnage

Le secteur de l’éducation est aussi une cible de prédilection pour les attaques malveillantes – les écoles détiennent une pléthore de renseignements personnels, et parfois médicaux, sur les étudiants et les professeurs qui peuvent être vendus sur le Dark Web pour un profit. Pour les universités qui ont des programmes de recherche ou qui entretiennent des relations avec l’industrie de la technologie, ces menaces sont plus importantes, car à cause de leurs recherches, elles deviennent des cibles pour l’espionnage industriel, pour les attaques idéologiques ou tout simplement pour le plaisir.

Selon le rapport de 2019 réalisé par Verizon sur les atteintes à la protection des données, les attaques dirigées contre les applications Web, comme des serveurs de messagerie sur le Cloud, étaient le deuxième vecteur d’attaque le plus courant contre des organisations du secteur de l’éducation aux États-Unis. Elles représentaient environ 25 % de toutes les atteintes dans le secteur de l’éducation en 2018. Le rapport souligne que « cela est principalement attribuable au fait que les services de messagerie sur le Cloud sont fréquemment corrompus par l’entremise de liens visant l’hameçonnage vers de fausses pages d’ouverture de session ».

En effet, le rapport trimestriel australien sur les atteintes à la protection des données à déclaration obligatoire corrobore cette affirmation, en faisant remarquer que les cyberincidents représentaient la moitié des atteintes contre le secteur de l’éducation en Australie (4 des 8 attaques malveillantes, ou 4 des 19 atteintes). Parmi ces « cyberincidents », tous concernaient des identifiants corrompus, notamment par l’entremise de l’hameçonnage.

3. Les normes de sécurité accusent un retard

Le rapport de 2019 réalisé par Verizon sur les atteintes à la protection des données indique que bon nombre des atteintes dans le secteur de l’éducation aux États-Unis résultent d’un « mauvais système de sécurité et d’un manque d’attention aux détails ». Il signale qu’une méthode de base pour améliorer la sécurité et réduire l’erreur humaine consiste à mettre en place l’A2F sur des ressources Internet comme l’email et d’autres serveurs Web (ceux qui hébergent des applications et des services Web).

L’amélioration des normes de sécurité a été un défi dans le secteur de l’éducation, car ce dernier, et particulièrement les universités, possèdent beaucoup d’autonomie. Les universités publiques peuvent avoir des règles établies par leur État respectif, et les écoles privées doivent suivre les lois applicables. Toutefois, il y a clairement une certaine divergence entre les pratiques universitaires puisque de nombreux établissements n’utilisent pas l’A2F.

La mise en place de l’A2F en soi peut être difficile, car de nombreux programmes et services n’en ont pas besoin par défaut. Cette exigence peut faire partie des politiques d’une entreprise et d’une université, mais la faire respecter peut s’avérer difficile, car il faudrait vérifier que tous les utilisateurs ont configuré cette option, puis faire un suivi individuel auprès de ceux qui ne l’ont pas fait. Même si les utilisateurs qui ne respectent pas les politiques de sécurité de l’université sont ciblés, ils peuvent être réticents en raison d’un certain nombre de facteurs, y compris l’hésitation à tirer parti des nouvelles technologies, une résistance à l’égard de la modification des pratiques de sécurité établies, ou encore, le fait d’ignorer ou de refuser carrément la demande de mise en place d’un meilleur système de sécurité.

Dispositifs de stockage portatifs

Les données sont aussi souvent échangées au moyen de dispositifs de stockage portatifs comme les clés USB. Les universités et les autres établissements d’enseignement comptent sur les dispositifs de stockage portatifs dans le but de résoudre les problèmes de conformité et de sécurité. Ils savent qu’il est risqué d’échanger des données de recherche par email ou par Internet, car les emails ne sont pas sécurisés. Ils évitent également les services d’échange de fichiers, car ces derniers disposent généralement de contrôles de sécurité limités, sont une cible de prédilection pour les attaques et sont même utilisés pour l’hameçonnage d’identifiants. L’inconvénient de l’utilisation de dispositifs de stockage portatifs, c’est qu’ils sont souvent petits et relativement faciles à perdre ou à voler. En effet, malgré les efforts déployés pour entreposer les données en toute sécurité, le rapport australien sur l’atteinte à la protection des données signale que trois autres atteintes ont été causées par des dispositifs de stockage perdus ou volés.

La solution : XM SendSecure

XM SendSecure aide à résoudre ces problèmes grâce à une solution simple, sécurisée et facile à utiliser. Elle combine la facilité d’utilisation de l’email à un service d’échange sécurisé de fichiers qui comporte une piste d’audit détaillée, la fonctionnalité d’A2F obligatoire et des contrôles de sécurité renforcés. Au-delà du simple cryptage des données pendant le transfert et à l’état inactif, la solution offerte par XM SendSecure est aussi simple que l’email, car les utilisateurs peuvent créer une SafeBox d’échange sécurisé de fichiers directement à partir de Microsoft Outlook.

La fonctionnalité d’A2F utilise les renseignements figurant dans votre carnet d’adresses Outlook ou autre, veillant à ce que le lien vers la SafeBox soit envoyé à la personne appropriée et que seuls les destinataires puissent y accéder. XM SendSecure comprend également des connecteurs d’imprimantes multifonctions (MFP) qui permettent aux utilisateurs de créer et d’échanger rapidement une SafeBox à partir de leurs imprimantes multifonctions. De plus, cette solution offre des applications pour les appareils mobiles (iOS et Android) et le Web, ce qui la rend polyvalente et facile à utiliser pendant vos déplacements.

Pour une protection supplémentaire, ce qui est particulièrement utile pour l’échange de données de recherche sensibles, XM SendSecure offre également un stockage éphémère, lequel est conçu pour supprimer automatiquement son contenu à une date d’expiration déterminée. Cette fonctionnalité est utile pour les établissements de recherche universitaires, car elle réduit le risque lié à la conservation d’anciens fichiers dans un dossier partagé lorsque cela est nécessaire.

Pour en revenir au rapport australien sur l’atteinte à la protection des données à déclaration obligatoire, des 19 atteintes dans le secteur de l’éducation en Australie :

  • 4 ont été causées par des emails envoyés au mauvais destinataire ;
  • 4 ont été causées par divulgation involontaire de renseignements non autorisés;
  • 4 ont été le résultat d’attaques malveillantes compromettant des identifiants (hameçonnage);
  • 3 ont été causées par la perte ou le vol d’un dispositif de stockage.

En d’autres termes, au cours du premier trimestre de 2019, jusqu’à 15 atteintes sur 19 dans le secteur de l’éducation en Australie (ou près de 80 %) auraient pu être évitées en utilisant XM SendSecure.

Jusqu’à 80 % des atteintes à la protection des données dans le secteur de l’éducation en Australie entre le 1er janvier et le 31 mars 2019 auraient pu être évitées en utilisant XM SendSecure.

Notre solution comprend également un rapport d’audit détaillé qui peut aider à dissuader les acteurs malveillants de divulguer des renseignements, à responsabiliser les utilisateurs et à fournir des dossiers en cas d’audit de conformité. Les registres des activités figurant dans la SafeBox peuvent être consultés en tout temps lorsque celui-ci est ouvert. Lorsque la date d’expiration est passée, un rapport d’audit final est généré pour le créateur de la SafeBox. Le rapport final contient des renseignements détaillés sur chaque utilisateur invité à collaborer et sur toutes ses interactions avec la SafeBox. XM SendSecure enregistre même les pourcentages d’avancement des téléchargements, ce qui est utile pour s’assurer que ceux qui ont téléchargé un fichier donné ont reçu le fichier complet.

***

Les universités et les autres établissements de recherche ne devraient pas utiliser des méthodes risquées pour échanger des données de recherche. Découvrez comment XMedius et notre suite de solutions sécurisées, économiques et faciles à utiliser, comme XM SendSecure peuvent vous aider à réduire le risque d’atteinte à la protection des données découlant des erreurs humaines tout en répondant à vos besoins en matière d’échange sécurisé de fichiers.

 

PARLEZ À UN EXPERT

Leave a Comment

Start typing and press Enter to search